文档首页> Web应用防火墙 WAF> 用户指南(巴黎)> 云模式 WAF> 配置防护规则> 配置精准访问防护规则
更新时间:2024-03-11 GMT+08:00
查看PDF

配置精准访问防护规则

该任务指导用户通过Web应用防火墙服务配置精准访问防护规则。

精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者IP进行条件组合,定制化防护策略,为用户的网站带来更精准的防护。

前提条件

  • 已获取管理控制台的账号和密码。
  • 已添加防护域名。

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面上方的“服务列表”,选择安全 > Web应用防火墙,在左侧导航树中选择“域名配置”,进入“域名配置”页面。
  4. 在目标域名所在行的“操作”栏中,单击“配置防护策略”,进入“防护配置”页面。
  5. “精准访问防护”配置框中,用户可根据自己的需要更改精准访问防护的“状态”,配置完成后在“防护配置”列表的右上角,单击“保存”,并在弹出的对话框中,单击“是”保存相关设置,如果是误操作,单击“取消”取消相关配置。
  6. 单击“自定义精准访问防护规则”,进入精准访问防护规则配置页面,设置“检测模式”

    如果用户修改了4“状态”后,未单击“保存”,单击“自定义精准访问防护规则”时,会弹出“警告”对话框。

    • 单击“是”,取消之前的配置。
    • 单击“否”后再单击“保存”,保存相关配置。
    精准访问防护规则提供了两种检测模式。
    • 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。
    • 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续执行其他防护的检测,待其他防护的检测完成后进行拦截。

    默认为“ 短路检测”检测模式,修改检测模式后需要单击“保存”,保存配置。

  7. “精准访问防护配置”页面左上角,单击“添加规则”
  8. 在弹出的对话框中,添加精准访问防护规则,参数说明如表1所示。

    表1 规则参数说明

    参数

    参数说明

    取值样例

    规则名称

    用户自定义为规则的名字。

    waftest

    防护动作

    可选择“阻断”或者“放行”。默认为“阻断”

    “阻断”

    生效时间

    用户可以选择“立即生效”或者自定义设置生效时间段。

    自定义设置的时间只能为将来的某一时间段。

    “立即生效”

    条件列表
    单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。
    • 字段
    • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
      须知:

      子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。

    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
    • 内容:输入或者选择条件匹配的内容。
    说明:

    具体的配置请参见表2
    • “路径”包含“/admin”
    • “User Agent”前缀不为“mozilla/5.0”
    • “IP”等于“192.168.2.3”
    • “Cookie[key1]”前缀不为“Nessus”

    优先级

    设置该条件规则检测的顺序值。

    值越小,优先级越高;值相同时,规则创建时间越早,优先级越高。

    50
    表2 条件列表配置

    字段

    子字段(举例)

    逻辑

    内容(举例)

    路径:设置的防护路径,不包含域名,仅支持精准匹配(需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”

    --

    “包含”“不包含”“等于”“不等于”“前缀为”“前缀不为”“后缀为”“后缀不为”

    /buy/phone/

    User Agent:设置为需要防护的扫描器的用户代理。

    --

    “包含”“不包含”“等于”“不等于”“前缀为”“前缀不为”“后缀为”“后缀不为”

    Mozilla/5.0 (Windows NT 6.1)

    IP:设置为需要防护的访问者IP地址。

    --

    “等于”“不等于”

    192.168.2.3

    Params:设置为需要防护的请求参数。

    sttl

    “包含”“不包含”“等于”“不等于”“前缀为”“前缀不为”“后缀为”“后缀不为”

    201901150929

    Cookie:根据Cookie区分的Web访问者。

    name

    “包含”“不包含”“等于”“不等于”“前缀为”“前缀不为”“后缀为”“后缀不为”

    Nessus

    Referer:设置为需要防护的自定义请求访问的来源。

    例如:防护路径设置为“/admin/xxx”,若用户不希望访问者从“www.test.com”访问该页面,则“Referer”对应的“Content”设置为“http://www.test.com”

    --

    “包含”“不包含”“等于”“不等于”“前缀为”“前缀不为”“后缀为”“后缀不为”

    http://www.test.com

    Header:设置为需要防护的自定义HTTP首部。

    Accept

    “包含”“不包含”“等于”“不等于”“前缀为”“前缀不为”“后缀为”“后缀不为”

    text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

  9. 单击“确认添加”,精准访问防护规则添加成功。

    • 若需要修改添加的精准访问防护规则时,可单击待修改的精准访问防护规则所在行的“修改”,修改精准访问防护规则。
    • 若需要删除添加的精准访问防护规则时,可单击待删除的精准访问防护规则所在行的“删除”,删除精准访问防护规则。

父主题: 配置防护规则